Что лучше: PHP как модуль Apache или PHP как CGI? - Хостинг для Joomla

Собственно вопрос в теме

Что лучше - php как модуль Apace или - php как CGI ?

Хостер предлагает два варианта
Мне как администратору удобней php как CGI.

А реально оно как и что за чем стоит ? Какие прелести и негативы в той или иной возможности, возможно по безопасности какие то различия есть и так далее

Ваше мнение ?

Кому интересно, хостинг p-host.com.ua

Ну если удобно иногда вбивать руками CHMOD на папки или файлы, то выбирай mod_php, потом сам откажешься от этой прелести, в особенности когда столкнешься с установкой и работой некоторых компонентов...

Ну если удобно иногда вбивать руками CHMOD на папки или файлы, то выбирай mod_php, потом сам откажешься от этой прелести, в особенности когда столкнешься с установкой и работой некоторых компонентов...

Да, я написал, Мне как администратору удобней php как CGI, потому что второй вариант полная ж..па с CHMOD и кешем и темпом

Просто интересует, что там к чему

Просто интересует, что там к чему

Что именно? Не совсем понятно. Можно и под mod_php установить и работать, смотря для каких целей... Например если разрабатывать как новостной сайт, то пойдет, но если к примеру использовать для галереи для пользователей или к примеру IdoBlog, то с заморочками сразу столкнетесь. Вы же не захотите менять права на папки для каждого пользователя... Сталкивался с такой ситуацией на одном из хостингов года три назад, пришлось стразу сменить хостинг компанию, хотя реклама была что Joomla 1.5 у них работает, работает , но как это другой вопрос видно был...
Еще бывают проблемки как установкой, так и с удалением папок или файлов... в общем выбирайте правильный хостинг. Мое мнение, что под mod_php Joomla теряет свое "автоматические свойства", если так можно выразиться.

Думаю что выбрал правильный хостинг, потому что в панели они предлагают оба варианта, в любое время можно изменить. Просто я не понимаю разницы. Кроме того, что в php как CGI не надо париться с CHMOD

это что проблема ? заходиш на фтп и простовляешь за 20 сек все права )

Думаю что выбрал правильный хостинг, потому что в панели они предлагают оба варианта, в любое время можно изменить. Просто я не понимаю разницы. Кроме того, что в php как CGI не надо париться с CHMOD

Это хорошо. Ведь можете держать сайты под разные движки. Например почитайте о Drupal отлично работает на mod_php, но CGI предпочтительней, некоторые другие CMS требуют именно mod_php.

это что проблема ? заходиш на фтп и простовляешь за 20 сек все права )

А вы живете на сайте?

как вас понимать?

Нормально и понимать.... Вы на свойм ФТП живете... или иногда заглядываете Чтоб менять права на папки?

P.S. хостинг под CGI/FastCGI упрощает Вам работу с Joomla...

Мой фтп в россии а я сам в украине ) так что юзаю менеджеры например FileZilla а для простовления chmod юзаю скрипты которые работают за 1 сек и ставят то что мне надо ) так понятно?

это что проблема ? заходиш на фтп и простовляешь за 20 сек все права )

Возможно и так, но есть большое но:
за частую создаёться много пользовательских папок (если это нормальный портал, а не сайт визитка), которые пользователи создают (создаются именно движком) и права на папки и файлы получает Апач, вот и начинаеться цирк, когда потом ни я, ни Joomla не может удалить эти папки файлы.

В папке темп тоже проблемы, мусор после установки компонентов не удаляться никаким способом, на кеш тоже зачастую только апач имеет права.
При чём я ничего не могу сделать даже из панели управления хостингом (это не пример, это реальность хостера X-host)

то что cgi избавляет нас от проблем с правами это понятно, давайте это закроем

Кто скажет, какая ещё разница есть, например в быстроте обработки скриптов или в безопасности ?

то что cgi избавляет нас от проблем с правами это понятно, давайте это закроем

Кто скажет, какая ещё разница есть, например в быстроте обработки скриптов или в безопасности ?

Ну это уже на конференцию прям вопрос... Чем права 755 на папки и 644 на файлы Вам не подходят, в отличии от 777 и 644 под mod_php?

Ситуация такая
хостер предлагает на выбор хостинг с разными конфигурациями где php это Модуль apache или cgi

На данный момент пользуюсь их сервером где PHP как CGI и выставленны права на папки 0755 на файлы 0644
Скрипты Joomla всё равно могут изменять создавать/изменять/удалять файлы. Т.е. запретить это скриптам я не могу
поэтому появившийся вредоносный скрипт может делать всё что захочет.

(супорт сказал что с вариантом php как Модуль apache можно запрещать доступы)

Я думаю что запретив запись в папки можно усилить безопасность

Суппорт хостинга наоборот рекомендует вариант с  CGI

1. Прав ли я
2. Какой вариант лучше выбрать для Joomla
3. Почему супорт рекомендует PHP как CGI

Интересует мнение уважаемых и читаемых мною постояльцев форума

На данный момент пользуюсь их сервером где PHP как CGI и выставленны права на папки 0755 на файлы 0644
Скрипты Joomla всё равно могут изменять создавать/изменять/удалять файлы. Т.е. запретить это скриптам я не могу
поэтому появившийся вредоносный скрипт может делать всё что захочет.

Всё правильно, т.к. CGI= выполение от пользователя, а для пользователя у Вас выставленны права для изменений.


лучше mod_fcgid (не путать с mod_php), по определению это одно из самых безопасных привязок ПХП на сегоднешний день.
Но считаю, что это всё не так значимо! т.к. это шаред хостинг, где есть много соседей (школьники, домохозяйки). Если хостера взломают через какого-то клиента, то всё соседи могут пострадать.
К ждумле: ей всё равно как PHP подключается, для mod_php есть FTP-прослойка для работы с файлами.

На данный момент пользуюсь их сервером где PHP как CGI и выставленны права на папки 0755 на файлы 0644
Скрипты Joomla всё равно могут изменять создавать/изменять/удалять файлы. Т.е. запретить это скриптам я не могу
поэтому появившийся вредоносный скрипт может делать всё что захочет.

(супорт сказал что с вариантом php как Модуль apache можно запрещать доступы)

Во первых, если необходимо только чтение, то хватит 0440 на файлы и каталоги, если необходимо ещё и выполнение, то 0550.
Во вторых, в случае использования php как модуль апача и использовании обычного апача, без mpm-itk патча, приведёт наоборот к снижению уровня безопасности, т.к. любой пользователь сможет ходить по всему серверу и делать всё, что ему захочется.

лучше mod_fcgid (не путать с mod_php), по определению это одно из самых безопасных привязок ПХП на сегоднешний день.
Но считаю, что это всё не так значимо! т.к. это шаред хостинг, где есть много соседей (школьники, домохозяйки). Если хостера взломают через какого-то клиента, то всё соседи могут пострадать.
К ждумле: ей всё равно как PHP подключается, для mod_php есть FTP-прослойка для работы с файлами.

Ошибаетесь, в mod_fcgi есть некоторые уязвимости, за счёт которых можно получить более высокие привелегии.
Намного безопасней использование Apache mpm-itk.
Если используется Apache mpm-itk, то взлом какого либо пользователя сервера, приведёт только к тому, что взломщик получит доступ только к его директории, другие пользователи от этого не пострадают.

Ошибаетесь, в mod_fcgi есть некоторые уязвимости, за счёт которых можно получить более высокие привелегии.

Ну если я ошибаюсь, то надеюсь, что Вы можете обосновать или привести ссылку, подтверждающую Ваше высказывание, что имеется актуальная уязвимость.

Ну если я ошибаюсь, то надеюсь, что Вы можете обосновать или привести ссылку, подтверждающую Ваше высказывание, что имеется актуальная уязвимость.

Наверное более правильно было сказать, что она проявляется при некотором стечении обстоятельств.
Выкладывать такое в паблик не буду, т.к. многие хостеры используют на своих серверах fcgi и не у всех это исправлено.

Друзья, можно ли вас попросить не отходить от темы (Пожалуйста). На данный момент предлагают мне два варианта
Хотелось бы задать вопрос:
Где больше вероятность получить взлом
от соседей (Модуль apache)
или получить вредоносный скрипт через дыры в коде а потом он сможет портить отстальные файлы в других дирректориях

На данный момент предлагают мне два варианта
Хотелось бы задать вопрос:
Где больше вероятность получить взлом
от соседей (Модуль apache)
или получить вредоносный скрипт через дыры в коде а потом он сможет портить отстальные файлы в других дирректориях

тут 50/50

Наверное более правильно было сказать, что она проявляется при некотором стечении обстоятельств.

Так.... уже не "есть", а появляется при некоторый стечениях обстоятельств.... т.е. захотела и появилась?  При каких обстоятельствах?

Выкладывать такое в паблик не буду, т.к. многие хостеры используют на своих серверах fcgi и не у всех это исправлено.

"ох ты".... Вы нашли баг, о котором Вы не сообщили до сих пор разработчикам и о котором никто ничего не занет?
Пишите в личку, буду рад узнать новое. Если ответа не получу от Вас, то расцениваю Ваши ответы болтовнёй и раскруткой своей марки. Спасибо за понимание.


2Тарас :
Если хостер предлагает mod_php или cgi на выбор всем клиентам на одном сервере, то не важно что Вы возьмёте. Цепь слаба на столько, на сколько слобо каждое звено. Если CGI клиенты хостятся на другом сервере, то лучше cgi взять.

На разных серверах.

Хорошо!
частный случай взлома:
используя дыру вредоносный скрипт попал в папку Images и начинает "бесприделить" изменять скрипты в других папкак

При варианте с модулем апаче скрипт только попал в папку у которого права 0777 и всё дальше ничего не может сделать так как у остальных папок и файлов права 0755 и 0644

в первом варианте надо искать дыру и закрывать и во втором не париться

или я не прав.

Где меньшее из зол и гемороя?

с CGI обычно только Вы подвержены взлому, с mod_php обычно весь сервер, но не всегда, там опять же ещё много факторов, которые влияют на успех или провал взлома.
Не зависимо от типа подключения PHP, В ОБОИХ вариантах надо искать где дырка при взломе. Очень часто просто уводят ФТП пароли.

_ib_, один из вариантов, отправил в личку.

Здравствуйте!

Вот одна из "уязвимостей" fcgi:

Отключаем для домена php, после этого создаём файл .htaccess со следующим содержимым:

AddType application/x-httpd-php .php

И получаем выполнение скрипта от пользователя апача.

Не пишите чепуху!

1. как нападающий может отключит ПХП? или нападающий имеет уже доступ к "/etc/apache2/apache2.conf"? Может он уже имет рута?
2. как он создаст/изменит .htaccess не имея на то прав? Или мы уже взломали, что ещё раз взломать по Вашему варианту?
3. для домена можно указать только 1 тип привязки ПХП, т.е. если включено cgi, fcgid, то mod_php там уже никак не будет работать (см. пункт №1)
4. "AddType application/x-httpd-php .php" не пришёй кобыле хвост, т.к. mod_php может быть выключен или не установлен!
5. даже если забить на пункты 1-4, то о чём Вы пишите, - это не есть дырка самого fcgid. Зайдите на доски уязвимостей и поищите "mod_fcgid".

Не пишите чепуху!

1. как нападающий может отключит ПХП? или нападающий имеет уже доступ к "/etc/apache2/apache2.conf"? Может он уже имет рута?
2. как он создаст/изменит .htaccess не имея на то прав? Или мы уже взломали, что ещё раз взломать по Вашему варианту?
3. для домена можно указать только 1 тип привязки ПХП, т.е. если включено cgi, fcgid, то mod_php там уже никак не будет работать (см. пункт №1)
4. "AddType application/x-httpd-php .php" не пришёй кобыле хвост, т.к. mod_php может быть выключен или не установлен!
5. даже если забить на пункты 1-4, то о чём Вы пишите, - это не есть дырка самого fcgid. Зайдите на доски уязвимостей и поищите "mod_fcgid".

1. Вообще то управление режимом работы php, есть в некоторых панелях управления, например в той же ISPmanager.
2. Если у него есть доступ в панель управления, то что ему мешает создать или изменить .htaccess ?
3. Смотрите пункт №1
4. Я же уже писал, что проявляется при определённом стечении обстоятельств.

P.S. Вам скинул только один из вариантов, но судя по тому, как Вы поступили, больше не одного из вариантов Вам скидывать не буду.

и зачем личную переписку публиковать... Некрасиво так вроде делать, ну разве что получили на то согласие...

2mgnhost
Да, клиент может изменить режим ПХП. Но если только ему админ с кривыми руками дал несколько режимов, то может. В панельке имеется и доступ к файлам по умолчанию, т.е. зачем мозги парить и менять что-то ещё (к пункту №2)?
Но опять же какое отношение имеет доступ в панель к fcgid?

Вы выдумываете уже что-то...т.к. пока нет реальных, известных публике, уязвимостей касающихся именно mod_fcgid!

Mihanja80
Некрасиво выдумывать и писать не по фактам!
Согласие для чего? В переписке нет персональной информации, чтобы было запрешено разглашать её. Я просто вынес дискуссию на публику, чтобы ТС или другие читающие топик не были введены в заблужнение!

2mgnhost
Да, клиент может изменить режим ПХП. Но если только ему админ с кривыми руками дал несколько режимов, то может. В панельке имеется и доступ к файлам по умолчанию, т.е. зачем мозги парить и менять что-то ещё (к пункту №2)?
Но опять же какое отношение имеет доступ в панель к fcgid?

Прочитайте ещё раз, что я Вам писал.
Там русским языком написано, что необходимо отключить php для www домена, а не включать например php как модуль апача!

Вы выдумываете уже что-то...т.к. пока нет реальных, известных публике, уязвимостей касающихся именно mod_fcgid!

Можете думать как хотите, но после того, как Вы выложили в паблик, то, что я Вам отправил в личку, чтобы не светить в паблике (чтобы все подряд не стали это применять), другие варианты отписывать Вам не буду.
Да и по поводу того, что другие уязвимости mod_fcgi, есть в паблике, я не говорил.
При чём другие уязвимости просто так не закроете, там надо будет вносить некоторые изменения в исходники и потом уже по новой пересобирать.